Fjernelse af pop-up i Windows XP

Følg vejledningen i denne artikel:
http://www.eksperten.dk/artikler/755

Velkommen til Eksperten forresten, du er helt ny kunne jeg se. :-)
Lidt gode råd om anvendelsen af Eksperten finder du her:
http://expfaq.1go.dk/
En vejledning i billeder til Hijackthis finder du her:
http://fromsej.dk/html/Hjtvejledning.htm
godt nok til en ældre udgave, men princippet er det samme.

Hvor laver jeg Hijack-scanet henne og hvad gør det? Tusind tak for din hjælp!
Jeg er rimelig 'grøn' :-)

Du henter programmet og kører det på din maskine.
Klik på Scan and save log, det er denne log du skal kopiere herind, den åbner sig i Notesblok.

Hvor henter jeg programmet henne?

Du kan hente det her:
http://www.spywarefri.dk/downloads1/hijackthis.exe

Sådan ser det ud! - Hva siger du til det?

Logfile of HijackThis v1.99.1
Scan saved at 10:46:08, on 11-01-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TEXTware\HotKey\Twalink.exe
C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\EB\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibet.dk/
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: RandomName - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp2179.tmp (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Program Files\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O4 - HKLM\..\Run: [SpyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [SpywareStrike] C:\Program Files\SpywareStrike\SpywareStrike.exe /h
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: HotKey.lnk = C:\Program Files\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

Præcis som jeg regnede med (mere eller mindre)
5 min så er der en løsning.

Spywarestrike - pyhh... den er da overalt :/

Du er helt i verdensklasse! :-)

1. Hent og dobbeltklik på smitRem.exe

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Programmet pakker sig ud til mappen smitRem.

2. Hent Ad-aware

http://spywarefri.dk/vaerktoj.htm#ad-aware

Installer programmet, start det og opdater online, du skal IKKE scanne endnu.
Indstil Ad-Aware efter denne vejledning:
http://www.spywarefri.dk/manualer/adaware-manual.htm
Luk Ad-Aware igen.

3. Hent Ewido:

http://www.spywarefri.dk/downloads1/ewido-setup.exe

Installer og kør Ewido - Opdater straks efter installationen programmet (men lad være med at scanne endnu).

4. Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:

http://fromsej.dk/html/xpfejl.html

5. Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på "Fix checked":

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: RandomName - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\System32\hp2179.tmp (file missing)
O4 - HKLM\..\Run: [SpyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [SpywareStrike] C:\Program Files\SpywareStrike\SpywareStrike.exe /h
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

6. Åbn mappen smitRem, og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)

7. Kør en fuld scanning med Ad-Aware, fjern alt det finder.

8. Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind.

9. Sletning af \mapper\ og filer:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
De kan være væk, så bare fortsæt.
-------------------
Mapper:
C:\Program Files\SpyAxe\
C:\Program Files\SpywareStrike\
C:\Program Files\MyWebSearch\bar\
-------------------
Filer:
<Ingen>

10. Genstart almindeligt, kør denne onlinescanner:

PANDA, (sæt den til Automatic removal).

11. Genstart og kom med en frisk Hijackthislog, samt loggen fra Ewido. Find smitfiles.txt via Start/Søg. Kopier også denne log ind.

John >> Det er en mutation af spyaxe, men Smitrem er opdateret til at æde den. :-)

Her er linket til Panda:
http://www.pandasoftware.com/activescan/activescan.asp?Language=2&Country=63&Partner=1&Ref=EN-PR-AS-107

Jeg Går straks igang! - ligger scannet ind til jer ASAP! Endnu en gang tak!

fromsej>
Så vidt jeg kan lure, burde denne også fixes:
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /

Eller er jeg galt på den?

Nej, du har ret, den overså jeg, måske ikke en god ide at tyde logs når man har influenza.*S*
Nå den snupper vi næste gang.

<fromsej> -> Ku' ik' la' vær': http://www.post-online.dk/ver20/cardimages/godbedring/godbedring5.jpg

.. Ked af at holde dig ude af sengen når du er syg *S*. Jeg befinder mig i Los Angeles hvor det kun er middag! Den scanner på livet løs, i får mine scan's inden for 15 min håber jeg!

Tak Dr1.*S*

Det er bare i orden Donhansen, jeg kan jo bare gå i seng.*S*

HIJACKTHIS-LOG -

Logfile of HijackThis v1.99.1
Scan saved at 12:35:31, on 11-01-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TEXTware\HotKey\Twalink.exe
C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\EB\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibet.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HotKey.lnk = C:\Program Files\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

EWIDO SCAN LOG -

ewido anti-malware - Scan report
---------------------------------------------------------

+ Created on:            12:18:20, 11-01-2006
+ Report-Checksum:        4A9F6B38

+ Scan result:

    No infected objects found.


::Report End

SMITFILES.TXT LOG -

  smitRem © log file
    version 2.8

    by noahdfear


Microsoft Windows XP [Version 5.1.2600]
The current date is: 11-01-2006
The current time is: 11:44:54,65

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

SpywareStrike
Security Toolbar


~~~ Shortcuts ~~~

Online Security Guide.url
Online Security Guide.url
Security Troubleshooting.url
Security Troubleshooting.url


~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

1024 dir
ld****.tmp
ncompat.tlb
mscornet.exe
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Starting registry repairs

Deleting files


  Remaining Post-run Files


~~~ Program Files ~~~

SpywareStrike


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)

Således ser det ud efter at have fulgt din vejledning!
Den siger dog stadig at jeg er 'infected' i bjælken!
Er der mere at gøre?

Fixes med Hijackthis:
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS

Find og slet:
C:\Program Files\p2pnetworks\
Det skal muligvis være i fejlsikret.

Hent denne scanner.
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Genstart i fejlsikret(tryk <F8> ved opstart).
Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.

Vejledning i billeder findes her:
http://fromsej.dk/Vejledninger/html/drweb.html

Genstart normalt, kopier det nederste af Dr.Webloggen herind, og en ny Hijackthis.
Det bliver nok ikke før i morgen jeg kigger på det, den gode doktor tager sin tid.

???

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS

Det du har gjort indtil nu er mere end jeg kan forlange..
Meget taknemmelig!
Jeg gør som du siger, ligger det ind, og du kigger bare på det når helbredet tillader!
Vi snakkes herinde!
Go bedring!
Søren

Ja, jeg ved det, men de to har jeg da med.
Alle tre skal selvfølgelig fixes, og nu går jeg i seng. ;-)

Fromsej>>
Godmorgen Fromsej
Således ser det ud!
/Søren, Donhansen!

DrWEB LOG-
-----------------------------------------------------------------------------
Scan statistics
-----------------------------------------------------------------------------
Objects scanned: 58714
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 16
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 2
Objects cured: 0
Objects deleted: 0
Objects renamed: 18
Objects moved: 0
Objects ignored: 0
Scan speed: 1197 Kb/s
Scan time: 00:34:36
-----------------------------------------------------------------------------

=============================================================================
Total session statistics
=============================================================================
Objects scanned: 58790
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 16
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 2
Objects cured: 0
Objects deleted: 0
Objects renamed: 18
Objects moved: 0
Objects ignored: 0
Scan speed: 1200 Kb/s
Scan time: 00:34:49
=============================================================================

Nyeste HIJACKTHIS-LOG

Logfile of HijackThis v1.99.1
Scan saved at 13:59:46, on 11-01-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE
C:\Program Files\TEXTware\HotKey\Twalink.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\EB\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibet.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HotKey.lnk = C:\Program Files\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

Disse er jo stadig med i loggen [Scan saved at 13:59:46, on 11-01-2006]
->

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS

Mon det er den rigtige NYE log du har vedlagt ?

Denne "mywebsearch" - er det et prg. du ka' afinstalere i [Kontrolpanel][Fjern programmer] ?
Samme med "MediaPipe P2P Loader" ?

Det burde de være, tjek om de kan afinstalleres derfra.
Kør så hijackthis igen og fix:
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS

Find og slet:(skal muligvis gøres i fejlsikret)
C:\Program Files\p2pnetworks\
C:\Program Files\MyWebSearch\

Genstart, tjek om linierne er væk, er de ikke så kom med en frisk hijackthislog, og en status på dine problemer.

Er det en Dell computer?

Så er vi stået op på den anden side af atlanten!
Det er en laptop Dell c-610
Jeg slettede de filer i nævnte, manuelt i kontrolpanelet!
Aller nyeste >Hijack-scan ser sådan ud!

Logfile of HijackThis v1.99.1
Scan saved at 09:01:14, on 12-01-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TEXTware\HotKey\Twalink.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Documents and Settings\EB\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibet.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HotKey.lnk = C:\Program Files\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

Hent Cleanup her:
http://www.stevengould.org/software/cleanup/
Kør programmet, klik på Options, sæt flueben ved disse tre, og intet andet:
Empty Recycle Bins
Delete Cookies
Cleanup! All Users
Luk Cleanup igen uden at køre det.

De to her er stadig i loggen, fix dem, genstart så i fejlsikret.
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program Files\p2pnetworks\mpp2pl.exe" /H
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk762DHUS

I fejlsikret, kør Cleanup, klik på Cleanup og lad programmet køre færdigt, luk det derefter.
Genstart normalt og kom med en frisk hijackthislog.

Så ser den således ud!

Logfile of HijackThis v1.99.1
Scan saved at 10:09:52, on 12-01-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TEXTware\HotKey\Twalink.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Documents and Settings\EB\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibet.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HotKey.lnk = C:\Program Files\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/install/US/altpmtscab.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

Det var dog rart, så er de endelig væk. :-)

Så er din log ren, vi behøver ikke at se flere.
Du bør lige deaktivere systemgendannelse, genstarte og genaktivere den.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse.

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Mvh:
Fromsej/Team Spywarefri.

Er problemet løst?

Jeg har gjort som du skriver med at de/genaktivere, men pop-uppet i værktøjslinjen med 'Your compuer is infected' ' Dangerous infection was detected on your PC'
er der stadig!!

Nu bliver jeg sq sur.

Hent og installer SpySweeper her:
http://www.spywarefri.dk/downloads1/ssfsetup972_1837793616.exe
Det er en trial, som kun kan opdateres en gang, gør det, genstart så i fejlsikret og kør en fuld scanning med SpySweeper, følg denne vejledning:
http://www.spywarefri.dk/spysweepermanual.htm

..Ja nu får den snart en tur ud fra 4.sal! :-)

Skal du se en ny Hijackthis log herefter?
.. eller evt. en kopi af hva den finder! (den finder stadig Adware kan jeg se!)
- Den er nu igang med at 'sweepe'

Jeg kunne godt, for en gangs skyld, tænke mig at se SpySweeper loggen.
Den finder du ved at åbne SpySweeper, klikke på Results->Session logs->Save to File, kopier så teksten herind.
Hijackthis er ikke interessant, den er ren.

'Session log' ser således ud

11:00: |      Start of Session, 12. januar 2006      |
11:00: Spy Sweeper started
11:00: Sweep initiated using definitions version 599
11:00: Starting Memory Sweep
11:02: Memory Sweep Complete, Elapsed Time: 00:02:21
11:02: Starting Registry Sweep
11:02:  Found Adware: weirdontheweb
11:02:  HKCR\amnotifier.hubawindow\  (5 subtraces) (ID = 866632)
11:02:  Found Adware: mediapipe
11:02:  HKCR\downloadmanager.manager\  (5 subtraces) (ID = 866642)
11:02:  HKCR\downloadmanager.manager.1\  (3 subtraces) (ID = 866648)
11:02:  HKCR\mpagent.agent\  (5 subtraces) (ID = 866662)
11:02:  HKCR\mpagent.agent.1\  (3 subtraces) (ID = 866668)
11:02:  HKCR\appid\amnotifier.exe\  (1 subtraces) (ID = 866682)
11:02:  HKCR\appid\downloadmanager.exe\  (1 subtraces) (ID = 866684)
11:02:  HKCR\appid\mpagent.dll\  (1 subtraces) (ID = 866688)
11:02:  HKCR\appid\trayicon.exe\  (1 subtraces) (ID = 866692)
11:02:  HKCR\appid\{4c0b0548-ae0b-4008-999d-db33b8b2eb90}\  (1 subtraces) (ID = 866694)
11:02:  HKCR\appid\{7911272a-a32a-404e-8a51-ee18b99b18c4}\  (1 subtraces) (ID = 866698)
11:02:  HKCR\appid\{99c4f93d-42a7-478d-8746-4afb6c10bc26}\  (1 subtraces) (ID = 866702)
11:02:  HKCR\appid\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\  (1 subtraces) (ID = 866704)
11:02:  HKCR\clsid\{1e9adaf2-4eda-4074-96ce-c9972e675c88}\  (11 subtraces) (ID = 866706)
11:02:  HKCR\clsid\{7bf58804-e672-4b96-8eec-bfcce6492c9a}\  (11 subtraces) (ID = 866735)
11:02:  Found Trojan Horse: p2pnetwork
11:02:  HKCR\clsid\{b3e19860-0cd5-4991-a066-4fca2704de59}\  (12 subtraces) (ID = 866747)
11:02:  HKCR\typelib\{555fb512-9f3b-4359-9d2a-3c10e750ce5e}\  (9 subtraces) (ID = 866796)
11:02:  HKCR\typelib\{ab3b59a5-8bb4-46ab-a878-dfdb237d5bd5}\  (9 subtraces) (ID = 866816)
11:02:  HKCR\typelib\{afdbb222-dea9-4c12-b3a3-a13c2985e3ee}\  (9 subtraces) (ID = 866826)
11:02:  HKCR\typelib\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\  (9 subtraces) (ID = 866836)
11:02:  HKLM\software\mediapipe\  (16 subtraces) (ID = 866893)
11:02:  HKLM\software\classes\amnotifier.hubawindow\  (5 subtraces) (ID = 866911)
11:02:  HKLM\software\classes\downloadmanager.manager\  (5 subtraces) (ID = 866921)
11:02:  HKLM\software\classes\downloadmanager.manager.1\  (3 subtraces) (ID = 866927)
11:02:  HKLM\software\classes\mpagent.agent\  (5 subtraces) (ID = 866941)
11:02:  HKLM\software\classes\mpagent.agent.1\  (3 subtraces) (ID = 866947)
11:02:  HKLM\software\classes\appid\amnotifier.exe\  (1 subtraces) (ID = 866961)
11:02:  HKLM\software\classes\appid\downloadmanager.exe\  (1 subtraces) (ID = 866963)
11:02:  HKLM\software\classes\appid\mpagent.dll\  (1 subtraces) (ID = 866967)
11:02:  HKLM\software\classes\appid\trayicon.exe\  (1 subtraces) (ID = 866971)
11:02:  HKLM\software\classes\appid\{4c0b0548-ae0b-4008-999d-db33b8b2eb90}\  (1 subtraces) (ID = 866973)
11:02:  HKLM\software\classes\appid\{7911272a-a32a-404e-8a51-ee18b99b18c4}\  (1 subtraces) (ID = 866977)
11:02:  HKLM\software\classes\appid\{99c4f93d-42a7-478d-8746-4afb6c10bc26}\  (1 subtraces) (ID = 866981)
11:02:  HKLM\software\classes\appid\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\  (1 subtraces) (ID = 866983)
11:02:  HKLM\software\classes\clsid\{1e9adaf2-4eda-4074-96ce-c9972e675c88}\  (11 subtraces) (ID = 866985)
11:02:  HKLM\software\classes\clsid\{7bf58804-e672-4b96-8eec-bfcce6492c9a}\  (11 subtraces) (ID = 867014)
11:02:  HKLM\software\classes\clsid\{b3e19860-0cd5-4991-a066-4fca2704de59}\  (12 subtraces) (ID = 867026)
11:02:  HKLM\software\classes\typelib\{555fb512-9f3b-4359-9d2a-3c10e750ce5e}\  (9 subtraces) (ID = 867075)
11:02:  HKLM\software\classes\typelib\{ab3b59a5-8bb4-46ab-a878-dfdb237d5bd5}\  (9 subtraces) (ID = 867095)
11:02:  HKLM\software\classes\typelib\{afdbb222-dea9-4c12-b3a3-a13c2985e3ee}\  (9 subtraces) (ID = 867105)
11:02:  HKLM\software\classes\typelib\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}\  (9 subtraces) (ID = 867115)
11:02:  HKLM\software\microsoft\code store database\distribution units\{2f003d51-39fd-4d18-9016-95cf70b92abe}\  (12 subtraces) (ID = 867125)
11:02:  HKLM\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/apinstall_tiny.dll\  (2 subtraces) (ID = 867141)
11:02:  HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\ || c:\program files\p2pnetworks\p2pnetworks.exe (ID = 871570)
11:02:  Found Adware: psguard
11:02:  HKLM\software\microsoft\windows\currentversion\uninstall\security toolbar\  (2 subtraces) (ID = 1035010)
11:02:  HKLM\software\microsoft\windows\currentversion\uninstall\security toolbar\ || displayname (ID = 1035011)
11:02:  HKLM\software\microsoft\windows\currentversion\uninstall\security toolbar\ || uninstallstring (ID = 1035012)
11:02:  HKLM\software\itbill\  (36 subtraces) (ID = 1100414)
11:03: Registry Sweep Complete, Elapsed Time:00:00:13
11:03: Starting Cookie Sweep
11:03:  Found Spy Cookie: adtech cookie
11:03:  eb@adtech[2].txt (ID = 2155)
11:03: Cookie Sweep Complete, Elapsed Time: 00:00:00
11:03: Starting File Sweep
11:03:  c:\program files\mediapipe (7 subtraces) (ID = -2147470120)
11:03:  c:\my accessmedia (1 subtraces) (ID = -2147469182)
11:05:  apinstall_tiny.dll (ID = 162705)
11:13:  apinstall_tiny.dll (ID = 162705)
11:15:  mediapipe.ini (ID = 162695)
11:15:  install.inf (ID = 162706)
11:15: File Sweep Complete, Elapsed Time: 00:12:19
11:15: Full Sweep has completed.  Elapsed time 00:15:05
11:15: Traces Found: 329
11:16: Removal process initiated
11:16:  Quarantining All Traces: p2pnetwork
11:16:  Quarantining All Traces: mediapipe
11:16:  Quarantining All Traces: psguard
11:16:  Quarantining All Traces: weirdontheweb
11:16:  Quarantining All Traces: adtech cookie
11:16: Removal process completed.  Elapsed time 00:00:11
********
10:59: |      Start of Session, 12. januar 2006      |
10:59: Spy Sweeper started
10:59: Messenger service has been disabled.
10:59: Your spyware definitions have been updated.
11:00: |      End of Session, 12. januar 2006      |

OG HER ER HVAD DEN FANDT!
11:16:  Quarantining All Traces: p2pnetwork
11:16:  Quarantining All Traces: mediapipe
11:16:  Quarantining All Traces: psguard
11:16:  Quarantining All Traces: weirdontheweb
11:16:  Quarantining All Traces: adtech cookie
11:16: Removal process completed.  Elapsed time 00:00:11
********

Det er altså en god scanner.*S*
Satte du flueben i Options->Sweep Options->Sweep for Rootkits?

Prøv at genstarte og se om problemet er løst.

Jeg satte IKKE flueben i 'sweep for rootkits'
Men jeg har genstartet, og den er stadig 'infected'

Skal jeg scanne igen og 'sweep for rootkits'

Ja, det synes jeg, gør det så ikke tricket kommer du på "byggemøde" hos os selv.*S*

Jeg kører den igen!
Du modtager et nyt 'session log' snarest!

..Så er der kørt en ny scan, og den fandt én spyware, som jeg slettede!
- Der er nu kørt normal genstart, og den er stadig 'infected' ifølge XP's pop-up
Er der en plan B? *S*

Prøv lige dette, så sover jeg på det.*S*

Hent F-Secure Blacklight her:

http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

Kør blbeta.exe og klik på Scan. Hvis programmet finder noget, så lad blacklight omdøbe filen/filerne - UNDTAGEN wbemtest.exe som er en legal fil. Programmet laver en lille log, som du skal kopiere herind (placeres i samme mappe som programmet).

..Det lykkedes mig ikke at kopiere logget herind, men den fandt '0 items', så den ser "rask" ud! - dog stadig infected

Sov nu lige på det *S*

Husk på, at jeg først er på herinde fra kl.18 din tid i morgen pga. 9 timers tidsforskel!
Venter med spænding på dit næste råd :-)

/DonHansen

Vi kan jo lige prøve vores hjemmebryggede fix:
http://danborg.org/spy/download/spywarestrike.bat
Når det er færdigt, genstart og fortæl om det hjalp.

Spywarestrike kan jeg ikke åbne på min PC.
- den kommer med at 'Netwrap.dll was not present in the system'
Hjemmebryg er ellers ikke at kimse af, men ikke i dette tilfælde *S*

Det lyder rigtigt, der er heller ikke andre spor end at den popup ikke vil forsvinde.
Jagten går videre.

Hent http://www.macecraft.com/downloads/RegSupreme_setup.exe.

Start RegSupreme, du kan vælge sprog ved at klikke på Language på øverste bjælke.
Flyt prikken til Grundig.
Klik på Start, når den er færdig, klik på Vælg øverst til venstre, klik på alle.
Klik så på Orden nederst til højre, skriv et navn i Backupvinduet der kommer frem og klik OK.
Så kører det.
Kør scanningen to-tre gange, genstart.

Hent silentrunner her:
http://www.silentrunners.org/Silent%20Runners.vbs
Kør programmet og læg log-filen herind (den lægger sig i samme mappe som silentrunner programmet ligger i).
Brokker dit Antivirusprogram sig, så deaktiver det og prøv igen.

..Jeg går straks igang med dine nye råd! Du hører nærmere!

SÅ ER DET MED STOR GLÆDE I STEMMEN AT JEG KAN OVERBRINGE AT POP-UP ER VÆK!
- Det var RegSupreme som gav dødshugget *S*

Du får lige logget fra Silentrunners alligevel, til oplysning om dit geniale værk!

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"AdaptecDirectCD" = ""C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"" ["Roxio"]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"SpySweeper" = ""C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
                                      \StubPath  = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e" [file not found], [MS], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" ["Webroot Software, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\context.dll" ["ewido networks"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
SpySweeper\(Default) = "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll" ["Webroot Software, Inc.

NU VIL JEG, PÅ DIN ANBEFALING, HENTE JERES PAKKE FOR AT BESKYTTE PC'EN!
- ER DET NOK AT HAVE DEN LIGGENDE SOM DET ENESTE?

-"DU RANGERER LIGE UNDER VOR HERRE!" HE HE :-)

TUSIND TUSIND TAK FOR DIN TID OG DIN HJÆLP!
SKAL JEG TRYKKE PÅ ACCEPTER FOR AT GIVE DIG POINTSENE SOM DU HAR MERE END FORTJENT?

/MANGE HILSENER FRA SØREN

Det var da en dejlig nyhed.*S*
Jeg kunne heller ikke forstå at den kunne drille så meget som tilfældet var her, men Regsupreme har vi før anvendt med held, hvor andet er kikset.

Der er ikke noget skummelt i Silent Runners loggen.

Pakken er i sig selv ikke nok, der skal selvfølgelig være et Antivirusprogram og helst en Firewall også, men AVG er udmærket til formålet, og der ligger link til Firewalls i pakken.

Velbekomme, det er rart når det lykkes, og jeg lærte også noget ved denne proces, der blev mere besværlig end vanligt.

Du skal markere mit navn i boksen, så klikker du på Accepter, så passer pengene.
Skulle jeg nogensinde komme til Los Angeles, så skylder du en bajer. ;-)

Mvh:
Søren. (Fromsej)

..Jeg tror at vi begge, efter dette kunne drikke en STOR fadøl!
Der ville ihvertfald være den største til dig, for helt unik hjælp! *S*

Alle pointene er mere end fortjent!

Ha den godt, og go weekend!
Søren, Los Angeles!

hold lige selv øje med om du får pointene, da de ikke umiddelbart er forvundet fra min 'konto' :-()

God Weekend til dig også, og tak for point. :-)

De forsvinder nok først fra din konto i nat, når Eksperten opdaterer, jeg har engang fået en længere forklaring, men jeg kan ikke huske den.